Wallet Ransomware
CryptoMix-Wallet Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Solheim&Sørensen AS и monsendas.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: CryptoMix > CryptoMix-Wallet
К зашифрованным файлам добавляется расширение .wallet, но оно используется как окончание составного расширения.
Пример зашифрованного файла:
GBBYCNPX7M.[shield0@usa.com].ID[*****].wallet
!!! Да, теперь и семья CrypoMix Ransomware стала использовать это расширение.
Активность этого крипто-вымогателя пришлась на конец апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: #_Restoring_files_#.txt
Содержание записки о выкупе:
All your files haue been encrypted!
All your files haue been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com
Write this ID in the title of your message *****
You haue to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
(databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. Vou haue to register, click 'Buy bitcoins', and select the seller by payment method and price.
http://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://wviw.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК. Если вы хотите восстановить их, напишите нам на email-адрес shield0@usa.com
Напишите этот ID в заголовке вашего сообщения *****
Вы должны платить за расшифровку биткоинами. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть меньше 10 МБ (не архивирован), а файлы не должны содержать ценной информации.
(базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Чтобы зарегистрироваться, нажмите 'Buy bitcoins' и выберите метод оплаты и цену.
http://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать данные с помощью чужого программного обеспечения, это может привести к полной потере данных.
Расшифровка ваших файлов с помощью третьих сторон может привести к увеличению цены (они добавят сумму к нашей), или вы можете стать жертвой мошенничества.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
monsendas.exe
#_Restoring_files_#.txt
Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
185.125.32.14/check/gif.php***
Email: shield0@usa.com
admin@hoist.desi
3048664056@qq.com
patrik.swize@gmx.de
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as CryptoMix Wallet) Write-up, Topic *
Thanks: R0bert R0senb0rg Michael Gillespie MalwareHunterTeam *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.